xxe漏洞学习

一、什么是xxe漏洞

XXE就是XML外部实体注入，当允许引用外部实体时， XML数据在传输中有可能会被不法分子被修改，如果服务器执行被恶意插入的代码，就可以实现攻击的目的攻击者可以通过构造恶意内容，就可能导致任意文件读取，系统命令执行，内网端口探测，攻击内网网站等危害。

由此为引例，了解一下XML语言

XML是可扩展的标记语言（eXtensible Markup Language），设计用来进行数据的传输和存储， 结构是树形结构，有标签构成，这点很像HTML语言。

但是XML和HTML有明显区别如下：   

XML 被设计用来传输和存储数据。 

HTML 被设计用来显示数据。

先来看一段简单的XML代码

<?xml version=’1.0’?>					//声明XML解析器版本来解析
<person>								//根元素，不一定是person
<name>test</name>						//子元素，意思就是name变量的值是test
<age>20</age>                           //同理
</person>

简单来说XML的语法中，标签就是变量名，标签里面的数据就是变量的值 

而实体又分为三种，一般实体(通用实体)，参数实体，预定义实体 （XXE不用，我也没了解）

1、一般实体

<?xml version=’1.0’?>	   // 声明XML解析器版本来解析 
 
// 运用实体定义变量的写法 
// 即声明一个name变量，值为john
<!DOCTYPE person[         
<!ENTITY name “john”>      
]>				
 
// 引用一般实体的写法，格式为"&实体名称;"
<person>			      
<name>&name;</name>		   		
<age>20</age>
</person>

2、参数实体

参数实体的声明：<!ENTITY % 实体名称  "实体内容">

引用参数实体的方法：%实体名称;

 来看看下面一段使用了参数实体的代码，其实跟一般实体差不多只是%的区别

=

<?xml version=’1.0’?>       // 声明XML解析器版本来解析 
 
// 运用参数实体定义变量的写法 
// 即声明一个outer变量，值为John
<!DOCTYPE person[         
<!ENTITY % outer "John">        
%outer;                     //参数实体定义的变量必须先在dtd文件中引用
]>             
 
 
// 引用参数实体的写法，格式为"%实体名称;"
<person>                  
<name>%name;</name>                   
<age>20</age>
</person>

它必须定义在单独的DTD区域,这种实体相对灵活，这种功能在漏洞利用场景的外部实体注入(XXE)过程中非常有用

然后再区分一下内部实体和外部实体

内部实体

<?xml version=”1.0”?>
<!DOCTYPE note[
<!ELEMENT note (name)>
<!ENTITY hack3r “hu3sky”>
]>
<note>
<name>&hack3r;</name>
</note>

 外部实体

<?xml version=”1.0”?>
<!DOCTYPE a[
<!ENTITY  name SYSTEM “http://xx.com/aa.dtd”>
]>
<a>
<name>&name;</name>
</a>

内部实体就相当于自己编写DTD内容，而外部实体就相当于引入外部的DTD内容，类似于写JS代码时从外部引入JS文件，上面的一般实体和参数实体都可以化为外部实体 

 二、实战检验

这一部分放到暑假再练习吧，主要是有点抽象，需要时间去理解